Privileged Groups
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Administrators
Domain Admins
Enterprise Admins
यह समूह उन खातों और समूहों को बनाने के लिए सक्षम है जो डोमेन पर व्यवस्थापक नहीं हैं। इसके अतिरिक्त, यह डोमेन कंट्रोलर (DC) पर स्थानीय लॉगिन को सक्षम करता है।
इस समूह के सदस्यों की पहचान करने के लिए, निम्नलिखित कमांड निष्पादित की जाती है:
नए उपयोगकर्ताओं को जोड़ने की अनुमति है, साथ ही DC01 पर स्थानीय लॉगिन भी।
AdminSDHolder समूह की एक्सेस कंट्रोल लिस्ट (ACL) महत्वपूर्ण है क्योंकि यह सक्रिय निर्देशिका के सभी "संरक्षित समूहों" के लिए अनुमतियाँ सेट करती है, जिसमें उच्च-privilege समूह शामिल हैं। यह तंत्र इन समूहों की सुरक्षा सुनिश्चित करता है, जिससे अनधिकृत संशोधनों को रोका जा सके।
एक हमलावर इसको AdminSDHolder समूह की ACL को संशोधित करके भुनाने की कोशिश कर सकता है, जिससे एक मानक उपयोगकर्ता को पूर्ण अनुमतियाँ मिल जाएँगी। इससे उस उपयोगकर्ता को सभी संरक्षित समूहों पर पूर्ण नियंत्रण मिल जाएगा। यदि इस उपयोगकर्ता की अनुमतियाँ बदली या हटा दी जाती हैं, तो उन्हें सिस्टम के डिज़ाइन के कारण एक घंटे के भीतर स्वचालित रूप से पुनर्स्थापित कर दिया जाएगा।
सदस्यों की समीक्षा करने और अनुमतियों को संशोधित करने के लिए आदेश शामिल हैं:
एक स्क्रिप्ट उपलब्ध है जो पुनर्स्थापन प्रक्रिया को तेज करती है: Invoke-ADSDPropagation.ps1.
अधिक जानकारी के लिए, ired.team पर जाएं।
इस समूह में सदस्यता हटाए गए Active Directory ऑब्जेक्ट्स को पढ़ने की अनुमति देती है, जो संवेदनशील जानकारी प्रकट कर सकती है:
DC पर फ़ाइलों तक पहुँच प्रतिबंधित है जब तक कि उपयोगकर्ता Server Operators
समूह का हिस्सा न हो, जो पहुँच के स्तर को बदलता है।
Sysinternals से PsService
या sc
का उपयोग करके, कोई सेवा अनुमतियों का निरीक्षण और संशोधन कर सकता है। उदाहरण के लिए, Server Operators
समूह के पास कुछ सेवाओं पर पूर्ण नियंत्रण होता है, जो मनमाने आदेशों के निष्पादन और विशेषाधिकार वृद्धि की अनुमति देता है:
यह कमांड दिखाता है कि Server Operators
के पास पूर्ण पहुंच है, जो उच्चाधिकार के लिए सेवाओं में हेरफेर करने की अनुमति देता है।
Backup Operators
समूह में सदस्यता DC01
फ़ाइल प्रणाली तक पहुंच प्रदान करती है क्योंकि इसमें SeBackup
और SeRestore
विशेषताएँ होती हैं। ये विशेषताएँ फ़ोल्डर ट्रैवर्सल, लिस्टिंग, और फ़ाइल कॉपी करने की क्षमताएँ सक्षम करती हैं, यहां तक कि स्पष्ट अनुमतियों के बिना, FILE_FLAG_BACKUP_SEMANTICS
ध्वज का उपयोग करके। इस प्रक्रिया के लिए विशिष्ट स्क्रिप्ट का उपयोग करना आवश्यक है।
समूह के सदस्यों की सूची बनाने के लिए, निष्पादित करें:
इन विशेषाधिकारों का स्थानीय रूप से लाभ उठाने के लिए, निम्नलिखित चरणों का उपयोग किया जाता है:
आवश्यक पुस्तकालय आयात करें:
SeBackupPrivilege
को सक्षम करें और सत्यापित करें:
प्रतिबंधित निर्देशिकाओं से फ़ाइलों तक पहुँचें और उन्हें कॉपी करें, उदाहरण के लिए:
डोमेन कंट्रोलर की फ़ाइल प्रणाली तक सीधी पहुँच NTDS.dit
डेटाबेस की चोरी की अनुमति देती है, जिसमें डोमेन उपयोगकर्ताओं और कंप्यूटरों के लिए सभी NTLM हैश होते हैं।
C
ड्राइव की एक शैडो कॉपी बनाएं:
NTDS.dit
को शैडो कॉपी से कॉपी करें:
वैकल्पिक रूप से, फ़ाइल कॉपी करने के लिए robocopy
का उपयोग करें:
हैश पुनर्प्राप्ति के लिए SYSTEM
और SAM
निकालें:
NTDS.dit
से सभी हैश प्राप्त करें:
हमलावर मशीन पर SMB सर्वर के लिए NTFS फ़ाइल सिस्टम सेट करें और लक्षित मशीन पर SMB क्रेडेंशियल कैश करें।
सिस्टम बैकअप और NTDS.dit
निष्कर्षण के लिए wbadmin.exe
का उपयोग करें:
व्यावहारिक प्रदर्शन के लिए, देखें DEMO VIDEO WITH IPPSEC.
DnsAdmins समूह के सदस्य अपने विशेषाधिकारों का उपयोग करके DNS सर्वर पर SYSTEM विशेषाधिकारों के साथ एक मनमाना DLL लोड कर सकते हैं, जो अक्सर डोमेन कंट्रोलर्स पर होस्ट किया जाता है। यह क्षमता महत्वपूर्ण शोषण की संभावना की अनुमति देती है।
DnsAdmins समूह के सदस्यों की सूची बनाने के लिए, उपयोग करें:
सदस्य DNS सर्वर को मनमाना DLL (या तो स्थानीय रूप से या किसी दूरस्थ शेयर से) लोड करने के लिए निम्नलिखित कमांड का उपयोग कर सकते हैं:
DNS सेवा को पुनः प्रारंभ करना (जिसके लिए अतिरिक्त अनुमतियों की आवश्यकता हो सकती है) DLL को लोड करने के लिए आवश्यक है:
For more details on this attack vector, refer to ired.team.
यह भी संभव है कि कमांड निष्पादन के लिए mimilib.dll का उपयोग किया जाए, इसे विशिष्ट कमांड या रिवर्स शेल निष्पादित करने के लिए संशोधित किया जाए। इस पोस्ट को देखें अधिक जानकारी के लिए।
DnsAdmins DNS रिकॉर्ड को मैन-इन-द-मिडल (MitM) हमलों को करने के लिए हेरफेर कर सकते हैं, वैश्विक क्वेरी ब्लॉक सूची को अक्षम करने के बाद WPAD रिकॉर्ड बनाकर। Responder या Inveigh जैसे उपकरणों का उपयोग स्पूफिंग और नेटवर्क ट्रैफ़िक कैप्चर करने के लिए किया जा सकता है।
### Event Log Readers सदस्य इवेंट लॉग्स तक पहुँच सकते हैं, संभावित रूप से संवेदनशील जानकारी जैसे कि प्लेनटेक्स्ट पासवर्ड या कमांड निष्पादन विवरण पा सकते हैं:
यह समूह डोमेन ऑब्जेक्ट पर DACLs को संशोधित कर सकता है, संभावित रूप से DCSync विशेषाधिकार प्रदान कर सकता है। इस समूह का उपयोग करके विशेषाधिकार वृद्धि के लिए तकनीकों का विवरण Exchange-AD-Privesc GitHub रिपॉजिटरी में दिया गया है।
Hyper-V Administrators को Hyper-V पर पूर्ण पहुंच प्राप्त होती है, जिसका उपयोग वर्चुअलाइज्ड डोमेन कंट्रोलर्स पर नियंत्रण प्राप्त करने के लिए किया जा सकता है। इसमें लाइव DCs को क्लोन करना और NTDS.dit फ़ाइल से NTLM हैश निकालना शामिल है।
Firefox का Mozilla Maintenance Service Hyper-V Administrators द्वारा SYSTEM के रूप में कमांड निष्पादित करने के लिए शोषित किया जा सकता है। इसमें एक सुरक्षित SYSTEM फ़ाइल के लिए एक हार्ड लिंक बनाना और इसे एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल से बदलना शामिल है:
Note: हार्ड लिंक शोषण हाल के Windows अपडेट में कम किया गया है।
उन वातावरणों में जहां Microsoft Exchange तैनात है, एक विशेष समूह जिसे संगठन प्रबंधन कहा जाता है, महत्वपूर्ण क्षमताएँ रखता है। यह समूह सभी डोमेन उपयोगकर्ताओं के मेलबॉक्सों तक पहुँचने के लिए विशेषाधिकार प्राप्त है और 'Microsoft Exchange सुरक्षा समूहों' संगठनात्मक इकाई (OU) पर पूर्ण नियंत्रण बनाए रखता है। इस नियंत्रण में Exchange Windows Permissions
समूह शामिल है, जिसका उपयोग विशेषाधिकार वृद्धि के लिए किया जा सकता है।
प्रिंट ऑपरेटर समूह के सदस्यों को कई विशेषाधिकार प्राप्त होते हैं, जिसमें SeLoadDriverPrivilege
शामिल है, जो उन्हें डोमेन कंट्रोलर पर स्थानीय रूप से लॉग इन करने, उसे बंद करने और प्रिंटर प्रबंधित करने की अनुमति देता है। इन विशेषाधिकारों का शोषण करने के लिए, विशेष रूप से यदि SeLoadDriverPrivilege
एक अव्यवस्थित संदर्भ के तहत दिखाई नहीं देता है, तो उपयोगकर्ता खाता नियंत्रण (UAC) को बायपास करना आवश्यक है।
इस समूह के सदस्यों की सूची बनाने के लिए, निम्नलिखित PowerShell कमांड का उपयोग किया जाता है:
For more detailed exploitation techniques related to SeLoadDriverPrivilege
, one should consult specific security resources.
इस समूह के सदस्यों को रिमोट डेस्कटॉप प्रोटोकॉल (RDP) के माध्यम से PCs तक पहुंच दी जाती है। इन सदस्यों की गणना करने के लिए, PowerShell कमांड उपलब्ध हैं:
अधिक जानकारी RDP का शोषण करने के लिए समर्पित pentesting संसाधनों में पाई जा सकती है।
सदस्य Windows Remote Management (WinRM) के माध्यम से PCs तक पहुँच सकते हैं। इन सदस्यों की गणना निम्नलिखित के माध्यम से की जाती है:
For exploitation techniques related to WinRM, specific documentation should be consulted.
यह समूह डोमेन नियंत्रकों पर विभिन्न कॉन्फ़िगरेशन करने के लिए अनुमतियाँ रखता है, जिसमें बैकअप और पुनर्स्थापना अधिकार, सिस्टम समय बदलना, और सिस्टम को बंद करना शामिल है। सदस्यों की गणना करने के लिए, प्रदान किया गया आदेश है:
Use Trickest to आसानी से automate workflows बनाएं जो दुनिया के सबसे उन्नत सामुदायिक उपकरणों द्वारा संचालित हैं। आज ही एक्सेस प्राप्त करें:
AWS Hacking सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)